引:作为企业CSO,你是否面临着各种海量日志信息的困扰?一种新的安全信息管理(SIM)工具,有望将你的这种烦恼消除
作为企业CSO,你是否面临着各种海量日志信息的困扰?一种新的安全信息管理(SIM)工具,有望将你的这种烦恼消除。
面对日益增多的海量安全日志信息,最近出现的新的日志管理工具有望将人们从烦琐的日志信息分析中解放出来。
安全信息管理(SIM)产品目前逐渐成为网络安全基础架构中的一个关键部分。正因为如此,弄清楚用什么标准选择SIM就变得很重要。此外,在这个迅速发展的市场中,SIM本身也在不断演变:演变成安全事件管理器(SEM),变成安全信息/事件管理器(SI/EM)—未来不知还会变成什么。但有一点必须认识到,弄清楚架构的区别和实施需求比弄清楚行业的缩略语和产品名称更重要。一股合并浪潮已经开始席卷SIM市场。
何谓SIM?
SIM 产品能够自动收集及分析来自网络上所有安全设备的信息。安全管理人员没必要查看来自防火墙、入侵检测系统(IDS)、反病毒软件、虚拟专用网(VPN)及其他安全系统的日志和报警,利用单一的SIM控制台就能获得所有这些信息。有些SIM产品只是把来自这些不同设备的报告聚合起来;有些产品则可以对信息进行关联,从而提高整体安全信息的质量和准确性。
这种数据聚合有两大优点:首先降低了安全监控的成本,又提高了效率;其次,简化并改进了报告安全信息的机制,可用于审查,从而实现法规遵从。这些法律包括《健康保险可携性及责任性法案》(HIPAA)、《萨班斯-奥克斯利法案》、《金融服务现代化法案》(GLB)和《联邦信息安全管理法案》(FISMA)等,并报告不遵守这些法规将带来的后果。这是促使公司加快部署SIM的几个主要动因。
这里有必要介绍一下SIM、SEM和异常检测软件之间的区别。SIM系统往往收集来自不同的安全设备的各种信息。这些信息包括事件、报警、平常状态以及捕获的全部网络流量。
而SEM产品关注的往往是事件和报警,并增强入侵检测系统(IDS)的功能。异常检测软件则采用了略有不同的方法:先是检查网络,建立条件和行为基准,然后报告这些模式出现的任何变化。
有些SIM在实际使用时采用了异常检测技术中的技术。实际上,这三种产品的功能正在迅速趋向融合,但最终出现的这种统一产品叫什么,还有待确定。
如何选购SIM?
1.考察SIM是如何获得信息的。
一个基本的问题是,SIM是依赖安装在网络上的代理程序(有时叫监控程序或者探测程序)还是从现有的网络基础架构生成的日志文件和SNMP事件中获得信息?如果SIM产品依赖自己的代理程序,把进来的信息与事件处理紧密地联系起来,效率就要高一点。如果SIM产品依赖日志文件和SNMP事件,它的覆盖面就要广得多(不过你必须确信它能处理网络设备生成的日志文件),部署成本也比较低。
有些产品综合利用这两种架构,既接受处理日志文件,又使用自己的专用代理程序。你要看一下自己网络的架构,弄清楚哪一种方法能够为SIM提供最大的可靠性。
2. 考察信息将在何处进行处理。
在各种规模的网络上,SIM都能处理大量的数据。想知道某个SIM产品能不能处理网络生成的大量数据,关键在于要知道数据具体在哪里被处理?如何被处理?几乎所有的SIM产品都有两个主要部件用于创建及显示信息:SIM设备本身、在远程工作站上运行的应用程序。如果所有信息都不得不在主设备或在工作站中进行处理,那么一旦网络流量变大或事件的密度变得很大,性能就会成为问题。向厂商询问一下数据在何处被处理、是不是由两个(或更多)系统共同进行处理,就变得非常必要。延迟的安全信息会导致你成为被攻击的对象,而原本你是可以躲过这种攻击的。 |
